Samba und Kerberos

[krush]

Hallo zusammen,

hat jemand von euch schonmal Samba-User/Clients gegen Kerberos authentifiziert?
Der Samba läuft als PDC und die Windowsprofile werden auch entsprechend auf dem Samba bzw. Linux ohne Probleme gespeichert.
Ich möchte mir den Weg um die smbpasswd sparen.

wenn jmd so etwas in Art mal zum Laufen gebracht hat..waere ich sehr an der Konfiguration interessiert.

Besten dank für Antworten im voraus

 

[ooooking]

Hallo, was planst Du denn genau?
Also wir haben Samba mit einem Windows 2000er Server verbunden. Allerdings ist in unserem Fall der Windows 2000 Server der PDC.
Hast Du denn einen Kerberos kompatiblen Server ? Evtl. lokal auf dem Samba Rechner?
Mit unserem 2000er Server haben wir das per winbind gelöst. Sprich es wird die Benutzerverwaltung des Windows Server per Kerberos angezapft und der User authentifiziert. Funktioniert einwandfrei.
Kann Dir dazu auch mal die smb.conf und die kerberos5 conf posten.

Gruss Oliver

 

[damager]

hi und willkommen beim UB!

schon mal google bemüht? evtl. könnte dir http://www.pro-linux.de/work/server/samba3-domaene.html#ToC5 heflen
oder http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-de-4/s1-samba-servers.html ab kapitel 14.3.2.

danach kannst du sicher noch konkreter fragen

 

[krush]

naja ich kann ja mal schreiben worum es geht;-)
Also rundsätzlich geht um die Verwaltung von Benutzerkonten, d.h. benutzer "foo" kann sich an einem x-beliebigen Rechner anmelden und sieht immer seinen Desktop->"rooming" nennt man das glaub ich;-)
Das Ganze soll dann unabhänig von Linux und Windows funktionieren.
Wenn sich jetzt ein Benutzer über Linux anmeldet dann authentifiziert er sich gegen Kerberos.
Für Windows hab ich das ganze dann mit Samba als PDC realisert nur das Samba ständig nur in die smbpasswd schaut. Samba soll quasi am Besten auch gegen Kerberos authentifizieren.

Das ist meine Frage ;-)

Sicherlich ist Kerberos dafür eigentlich nicht so gut geeignet, LDAP wäre sicherlich die besserer Lösung, aber dafür hab ich jetzt erstmal keine Zeit, nächsten Mittwoch muss die Kiste spielen :-(

@damager

die Links kenn ich schon, wie gesagt ich hab dahinter kein LDAP, AFS o.ä.

 

[phrenicus]

krush,

Du machst schlechte Witze:

Sicherlich ist Kerberos dafür eigentlich nicht so gut geeignet, LDAP wäre sicherlich die besserer Lösung, aber dafür hab ich jetzt erstmal keine Zeit, nächsten Mittwoch muss die Kiste spielen :-(

Kerberos ist ein Authentifizierungssystem, LDAP ist ein Verzeichnisdienst.
Ich bedaure, aber das wirst Du bis Mittwoch kaum hinbekommen, wenn Du den Unterschied zwischen den beiden nicht kennst und für "sowas" keine Zeit hast. Im Prinzip willst Du (als Mindest-Anforderung) eine zentrale Benutzerverwaltung.

Das Ganze soll dann unabhänig von Linux und Windows funktionieren.

Heißt? Egal ob sich ein User von der Linux-Workstation oder vom Windows-PC aus anmeldet, soll er authentifiziert werden?

Für Windows hab ich das ganze dann mit Samba als PDC realisert nur das Samba ständig nur in die smbpasswd schaut.

Irgendwo willst Du die Benutzer ja zentral vorhalten, da solltest Du sowas wie einen Verzeichnisdienst schon einrichten.

Mein Tipp: Mach Dich mal mit LDAP vertraut. Wenn Du gleich anfängst, kriegst Du es bis Mittwoch vielleicht noch hin. Ich fürchte aber, dass Dir dafür ein paar Grundlagen fehlen... Versteh mich nicht falsch: Was Du willst, geht durchaus, aber ein bisschen Arbeit musst Du schon reinstecken.

Gruß

 

[krush]

Kerberos ist ein Authentifizierungssystem, LDAP ist ein Verzeichnisdienst.
Ich bedaure, aber das wirst Du bis Mittwoch kaum hinbekommen, wenn Du den Unterschied zwischen den beiden nicht kennst und für "sowas" keine Zeit hast. Im Prinzip willst Du (als Mindest-Anforderung) eine zentrale Benutzerverwaltung.

keine Angst, ich kenn schon den Unterschied zwischen beiden;-)
Das Problem ich ist nur, dass ich auszuführendes Organ bin:-) Und eigentlich schon von Anfang an die Geschichte mit LDAP lösen wollte.
Wie es halt so ist, ne?!

Heißt? Egal ob sich ein User von der Linux-Workstation oder vom Windows-PC aus anmeldet, soll er authentifiziert werden?

genau, wie gesagt zentrale Benutzerverwaltung

Irgendwo willst Du die Benutzer ja zentral vorhalten, da solltest Du sowas wie einen Verzeichnisdienst schon einrichten.

Mein Tipp: Mach Dich mal mit LDAP vertraut. Wenn Du gleich anfängst, kriegst Du es bis Mittwoch vielleicht noch hin. Ich fürchte aber, dass Dir dafür ein paar Grundlagen fehlen... Versteh mich nicht falsch: Was Du willst, geht durchaus, aber ein bisschen Arbeit musst Du schon reinstecken.

....schon dabei ;-)